Freifunk-Gateway aufsetzen

Aus Freifunk Franken
Wechseln zu:Navigation, Suche

TODO

Preface

Für das Aufsetzen eines Freifunk-Gateway gibt es kein universelles Kochrezept. Auch erfahrene Admins erfahren bei der Installation kleinere und grössere Herausforderungen, die es zu überwinden gilt. Unterschiedliche Softwareinstallationen, Netzwerkkonfigurationen, Hoster und VPN Anbieter können Anpassungen zu der hier präsentierten Vorgehensweise notwendig werden lassen, z.B. indem Pakete nach installiert werden oder Netzwerkkonfigurationen angepasst werden müssen. Um dies zu erleichtern, versucht der Artikel nicht nur die Konfiguration darzulegen, die in diesem spezifischen Fall funktioniert hat (Know-How), sondern versucht auch kurz auf die Hintergründe einzugehen, um ggf. eine Anpassung zu erleichern Know-Why).

Freifunk Franken ist "Development in Progress", d.h. eine Konfiguration die heute funktioniert, wird morgen durch eine andere und vielleicht sogar bessere abgelöst. Ein einmal aufgesetztes Gateway muss sich so der Entwicklung anpassen.

Für Rat und Tat empfiehlt sich die Freifunk Franken Development Mailingliste.

Vorraussetzungen

  • ssh-Zugang zum Server
  • Grundlegende Netzwerkkenntnisse
    • IPv4 und Netzmaske
    • Devices
    • Routing (Default route, Interfaces, Routing-Table)
  • Kentnisse im Umgang mit
    • Texteditoren
    • Linux Shell
    • (Selbständige Nach-)Installation von (fehlenden) Software-Paketen
    • Kompilieren von Software-Quellen

Referenzen / Andere Freifunk HowTo's

Anforderungen an Gateways

Die Anforderungen an das Gateway sind an sich niedrig. Wichtig ist, dass die Möglichkeit besteht, eigene Kernel-Module zu laden und das monatliche Traffic-Kontingent nicht zu niedrig ist. Entsprechend sind OpenVZ, Linux-vServer und ähnliche Containerlösungen nicht geeignet.

Hardware:

  • CPU: 1x (64Bit)
  • RAM: 256MB .. 1GB
  • HDD: > 5 GB
  • NIC: 1x

Software:

  • Debian Jessie (8) 64Bit Kernel
  • fastd v17
  • openvpn
  • B.A.T.M.A.N. adv 2013.4.0
  • dhcpd
  • olsr
  • bind9

Pauschal gibt es keine Mindestanforderungen für den Trafficverbrauch, folgende Staffelung könnte aber dabei helfen, sich eine Vorstellung davon zu machen, was in etwa pro Monat notwendig ist:

  • Dauerlast von 2 Mbit/s: ~633 GB
  • Dauerlast von 6 Mbit/s: ~1.9 TB
  • Dauerlast von 10 Mbit/s: ~3.2 TB
  • Dauerlast von 25 Mbit/s: ~8 TB

Nach den Erfahrungen vom Lübecker Freifunk-Projekt liegt der Traffic-Verbrauch bei zwei Gateways bei ca. 2TB im Monat je Gateway. Auf unserem derzeitigen Gateway haben wir in den letzten Monaten derartige Werte gehabt, wobei sich das Projekt noch aufbaut:

  • Januar '13: 243 GB
  • Februar '13: 309 GB

Anonymisierung (Störerhaftung)

Sofern der Server nicht über einen Uplink verfügt, wo es egal ist was durchgeht (unseriöse Bulletproof-Hoster), möchte man vermutlich den Traffic aus dem Freifunk-Netz durch ein VPN ins Internet schieben.

Auf längere Sicht, wäre es natürlich wünschenswert, wenn die Problematik der Störerhaftung in ihrer derzeitigen Form wegfällt um beispielsweise eine dezentralere Infrastruktur zu erlauben.

Folgende VPN-Anbieter sind zu diesem Zeitpunkt jedoch empfehlenswert:

  • Mullvad (Schweden, Niederlande)
    • Bis zu drei gleichzeitige Verbindungen
    • Kann man anonym mit Bitcoin bezahlen
    • Serverauswahl über die ausgelieferte OpenVPN-Konfiguration
      • Server in den Niederlanden sind abends oft stark ausgelastet
    • (Gute Erfahrungen in Lübeck)
  • Integrity VPN (Schweden, Port80)
    • Drittes Oktett durch Auswahl des normalerweise per round.robin-dns ausgewählten OpenVPN-Servers bestimmbar, das letzte Oktett ist immer gleich. Somit muss man sich keine dynamisch vergebenen IP-Adressen mit anderen teilen. Verbindungen daher durch die Anzahl der OpenVPN-Server (derzeit 3; unterschiedliche Ports nicht ausprobiert) beschränkt.
    • Hat eine überaus seriöse Webseite und eine Ltd. erfunden.™
    • Hat schon mal was von IPv6 gehört. Nutzt es zurzeit jedoch nur für SEO.
    • Blockiert Port 25 derzeit nicht.
    • Ist ein ein neuer Anbieter, der _bisher_ unausgelastet wirkt.
    • sind derzeit noch nicht nicht overselled und haben ihren Krams scheinbar halbwegs sauber konfiguriert
  • Ipredator (Schweden, Niederlande, Deutschland)
    • (Glänzen nicht durch Kompetenz, da sie lange Zeit nur PPTP angeboten haben)
    • Mögen schnelle Reconnects nicht -> manchmal muss man OpenVPN ein paar Stunden deaktivieren, bevor es wieder funktioniert.
    • Möchten bald auch IPv6 anbieten.
    • Angeblich Reseller von relakks

Ungetestet:

Einige Freifunknetze mieten auch VMs in Osteuropa. Da die VMs noch nicht an ihre Grezen stößt könnte man diese auch mitnutzen. Ansprechpartner wäre s0ma.

Anbindung an andere Netze

Es gibt drei relativ relevante Netzwerke bei denen es sich lohnt, das lokale Netz damit zu verbinden:

  • DN42
    • BGP
    • Experimentelles Darknet zur Erprobung von Routing-Technologien und so weiter, wird privat betrieben. Viel interessantes Zeugs™
    • Hat Routen ins ChaosVPN und IC-VPN, wer faul ist bei der Konfiguration deckt damit also alles™ ab nicht alle Routen vom IC-VPN oder ChaosVPN werden im DN42 verteilt, ob man das will kann ggf nochmal besprechen.
  • ChaosVPN
    • Tinc
    • Relativ großes „Darknet“ zwischen vielen Hackerspaces auf der ganzen Welt.

vServer-Anbieter die empfehlenswert sind

  • de-punkt (Databurg, FFM)
    • Schneller Speicher, gut bezahlbar, KVM, nur Traffic-Flat™® das übliche.
  • Hetzner (Falkenstein)
    • Bezahlbar, 6.90€/TB Extratraffic, KVM
  • colorhost (über 23media, Global Switch, FFM)
  • Untersagt Nutzung für Freifunk (http://colorhost.de/server/vserver/kvm/small/)
    • Achtung: Nur Xen oder Xen HVM funktionieren
  • xirra (Core-Backbone, NBG)
    • KVM, TB-Traffic zu 5,95€. Langweilig und funktioniert. Pflegt bisher einen guten Kontakt zu Kunden.
  • BuyVM
    • Begrenztes Angebot, das in Stößen rausgegeben wird. 2.50$/TB Extratraffic. Nur KVM ist brauchbar für diesen Zweck. USA Ost- und Südküste. TOS sagt, dass man da theoretisch kein weiteres VPN ins Netz brauchen würde.
  • webhod
    • 9,99 € für die kleinste KVM im Monat[1]


Grundinstallation des Servers

Vom ausgesuchten Hoster lassen wir uns eine aktuelle Linux-Distribution installieren oder ausliefern, wobei sich die Anleitung auf ein Debian 8 / Jessie bezieht.


Repositories und Update

Als erstes bringen wir das System auf den neuesten Stand...

sudo vi /etc/apt/sources.list

...und schauen nach, inwieweit auf die gleichen Software-Repositories verwiesen wird:

 
deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

deb http://ftp.de.debian.org/debian/ jessie main contrib non-free
deb-src http://ftp.de.debian.org/debian/ jessie main contrib non-free

deb http://ftp.de.debian.org/debian/ jessie-updates main
deb-src http://ftp.de.debian.org/debian/ jessie-updates main

Danach speichern und das System auf einen aktuellen Stand bringen:

sudo apt-get update

sudo apt-get upgrade


Sicherheit

Den SSH-Zugang besser schützen durch:

  • Änderung des Ports
  • login nur mit key
  • Siehe hier für genaue Anleitung:

sudo apt-get install fail2ban

und einrichten

So,nun sollte der Server ausreichend abgesichert sein.


B.A.T.M.A.N. adv 2013.4.0 Kernel-Modul

Batman-Adv aus Jessie ist zu neu. Hier muss manuell das alte B.A.T.M.A.N. advanced 2013.4.0 gebaut werden.

Hierfür benötigen wir minimal die Paketquellen build-essential linux-headers-amd64, und git:

    aptitude install build-essential linux-headers-amd64
    aptitude install git

Die Softwarequellen müssen heruntergeladen...

    git clone https://github.com/freifunk-gluon/batman-adv-legacy
    cd batman-adv-legacy

... und kompiliert und installiert werden:

    make
    make install

Hinweis: Sollten noch Paketquellen fehlen, wird dies während des Kompilierens gemeldet. Die Software-Quellen müssen nachinstalliert werden und der letzte Kompilierungs- und Installationsschritt so lange wiederholt werden, bis die Software erfolgreich erstellt wurde.

B.A.T.M.A.N adv 2013.4.0 batctl

Gleiches gilt für batctl, ein Shellprogramm zur B.A.T.M.A.N Konfiguration. Die alte Version 2013.4.0 muss selber gebaut werden, da die Debian 8 / Jessie Paketquellen zu neu sind.

Herunterladen und Entpacken der Softwarequellen:

     wget http://downloads.open-mesh.org/batman/releases/batman-adv-2013.4.0/batctl-2013.4.0.tar.gz
     tar xzf batctl-2013.4.0.tar.gz
     cd batctl-2013.4.0.tar.gz

Kompilieren und Installieren:

    make
    make install

Hinweis: Auch hier müssen ggf. fehlende Quellen händisch nachinstalliert und das Kompilieren und Installieren bis zum Erfolg wiederholt werden.

FastD

Die Verbindung zwischen Gateway und Router wird über einen fastd-Tunnel realisiert.

Hierfür müssen wir ein neues Repository in /etc/apt/sources.listdeklarieren:

vi /etc/apt/sources.list

Dort fügen wir folgendes Repository an:

deb http://repo.universe-factory.net/debian/ sid main
deb-src http://repo.universe-factory.net/debian/ sid main


Danach die PGP Schlüssel holen: gpg --keyserver hkp://pool.sks-keyservers.net --recv-key 16EF3F64CB201D9C

gpg -a --export 16EF3F64CB201D9C | apt-key add -

Datenbankupdate der Paketverwaltung: apt-get update

Installation von fastd: apt-get install batctl batman-adv-dkms fastd


Bind9

Als DNS Server nehmen wir in diesem Beispiel den de-facto-Standard bind: apt-get install bind9


OLSR

Als Routing-Protocoll, um die einzelnen Hoods später zu einem Freifunk Franken Netz zu verbinden wird OLSR installiert: apt-get install olsrd

Aufsetzen des Freifunk-GW

Als erstes sollte man unter Portal:Netz schauen, welche IP-Adressen belegt sind und sich eine unbenutzte aussuchen und auch gleich im Wiki eintragen, damit es keine Probleme mit anderen Benutzern gibt.

Genauso sollte man gleich den DHCP-Bereich für die jeweilige Hood, die der GW bedienen soll reservieren, so dass es keine Überschneidungen mit bestehnden DHCP-Servern gibt. Ist das gemacht, haben wir ja schon die IP im Freifunknetz.

Dann können wir jetzt die Netzwerk-Interfaces anlegen.

sudo vi /etc/network/interfaces

folgende interfaces dazuschreiben:

auto bat0
iface bat0 inet manual
post-up ifconfig $IFACE up
    post-up ip addr add "ip des GW im Freifunknetz mit netmask präfix z.B: 10.50.56.3/22" dev $IFACE
    post-up ip rule add iif $IFACE table fff
    post-up ip rule add from "ip des subnetzes z.B.:10.50.56.0/22 table fff
    post-up ip rule add to 10.50.56.0/22  table fff
    post-up ip route add 10.50.56.0/22 dev $IFACE table fff
    post-up invoke-rc.d isc-dhcp-server restart
    post-down ip route del 10.50.56.0/22 dev $IFACE table fff
    post-down ip rule del from 10.50.56.0/22 table fff
    post-down ip rule del to 10.50.56.0/22 table fff
    post-down ip rule del iif $IFACE table fff
    post-down ifconfig $IFACE down

auto fffbeispielhoodVPN
iface fffbeisbielhoodVPN inet manual
    post-up batctl -m bat0 if add $IFACE
    post-up ifconfig $IFACE up
    post-up ifup bat0
    post-down ifdown bat0
    post-down ifconfig $IFACE down

Speichern.

Nun werden wir noch iptables zum routen des traffics benötigen.

sudo apt-get install iptables

sudo vi /etc/iproute2/rt_tables

und folgendes einfügen:

10     fff

Speichern.


Jetzt brauchen wir eine neue Quelle:

vi /etc/apt/sources.list

und folgende hinzufügen:

deb http://repo.universe-factory.net/debian/ sid main
deb-src http://repo.universe-factory.net/debian/ sid main

danach die PGP Schlüssel holen:

gpg --keyserver hkp://pool.sks-keyservers.net --recv-key 16EF3F64CB201D9C

gpg -a --export 16EF3F64CB201D9C | apt-key add -

sudo apt-get update

Nun können wir das B.A.T.M.A.N.-Modul und fastd laden

sudo apt-get install batctl batman-adv-dkms fastd

sudo modprobe batman-adv

da das Kernelmodul B.A.T.M.A.N. bei Neustart des Systems geladen werden soll

sudo vi /etc/modules

und folgendes hinzufügen:

batman-adv

Dann erstellen wir eine Datei in /etc/fastd mit dem Befehl:

touch fff_beispiel_fastd.sh

danach öffnen wir diese:

vi /etc/fastd/fff_beispiel_fastd.sh

und folgendes Skript einfügen:

#!/bin/sh

SERVER="yes"
SERVERNAME="beispiel"

hood="hood eintragen"
project="fff"
port=10004

SERVERNAME="$SERVERNAME.$hood"

hostname=$SERVERNAME

if [ ! -d /etc/fastd ]
then
        mkdir /etc/fastd
fi

if [ ! -d /etc/fastd/$project.$hood ]
then
        mkdir /etc/fastd/$project.$hood
        mkdir /etc/fastd/$project.$hood/peers

        echo "# Log warnings and errors to stderr" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "log level error;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Log everything to a log file" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "log to syslog as \"${project}${hood}\" level info;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Set the interface name" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "interface \"${project}${hood}VPN\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Support xsalsa20 and aes128 encryption methods, prefer xsalsa20" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "#method \"xsalsa20-poly1305\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "#method \"aes128-gcm\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "method \"null\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Bind to a fixed port, IPv4 only" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "bind any:${port};" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Secret key generated by \"fastd --generate-key\"" >> /etc/fastd/$project.$hood/$project.$hood.conf
              echo "secret \"$(fastd --generate-key | grep -i Secret | awk '{print $2}')\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Set the interface MTU for TAP mode with xsalsa20/aes128 over IPv4 with a base MTU of 1492 (PPPoE)" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# (see MTU selection documentation)" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "mtu 1426;" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "on up \"/etc/fastd/${project}.${hood}/up.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "on post-down \"/etc/fastd/${project}.${hood}/down.sh\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "# Include peers from the directory 'peers'" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "include peers from \"/etc/fastd/${project}.${hood}/peers\";" >> /etc/fastd/$project.$hood/$project.$hood.conf
        echo "secure handshakes no;" >> /etc/fastd/$project.$hood/$project.$hood.conf

        echo "#!/bin/sh" >> /etc/fastd/$project.$hood/down.sh
        echo "/sbin/ifdown \$INTERFACE" >> /etc/fastd/$project.$hood/down.sh
        chmod +x /etc/fastd/$project.$hood/down.sh

        echo "#!/bin/sh" >> /etc/fastd/$project.$hood/up.sh
        echo "/sbin/ifup \$INTERFACE" >> /etc/fastd/$project.$hood/up.sh
        chmod +x /etc/fastd/$project.$hood/up.sh
fi

pubkey=$(fastd -c /etc/fastd/$project.$hood/$project.$hood.conf --show-key --machine-readable)
port=$(grep ^bind /etc/fastd/$project.$hood/$project.$hood.conf | cut -d: -f2 | cut -d\; -f1)

# fire up
if [ "$(/sbin/ifconfig -a | grep -i ethernet | grep ${project}${hood}VPN)" = "" ]
then
/bin/rm /var/run/fastd.$project.$hood.pid
fastd -c /etc/fastd/$project.$hood/$project.$hood.conf -d --pid-file /var/run/fastd.$project.$hood.pid
fi

# register
wget -T15 "http://mastersword.de/~reddog/fff/?name=$hostname&port=$port&key=$pubkey" -O /tmp/fastd_${project}.${hood}_output
if [ "$?" != "0" ]
then
        echo "Update failed"
        echo "Exiting, no clean up, no refresh"
        exit
fi

touch /tmp/fastd_${project}.${hood}_starting

filenames=$(cat /tmp/fastd_${project}.${hood}_output| grep ^#### | sed -e 's/^####//' | sed -e 's/.conf//g')
for file in $filenames
do
grep -A100 ^####$file.conf$ /tmp/fastd_${project}.${hood}_output | grep -v ^####$file.conf$ | grep -m1 ^### -B100 | grep -v ^### | sed 's/ float;/;/g' > /etc/fastd/$project.$hood/peers/$file
echo 'float yes;' >> /etc/fastd/$project.$hood/peers/$file
done

echo "Lösche alte:"

find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print
find /etc/fastd/$project.$hood/peers/ -exec test -f '{}' -a /tmp/fastd_${project}.${hood}_starting -nt '{}' \; -print | xargs /bin/rm /tmp/fastd_${project}.${hood}_starting

#reload
kill -HUP $(cat /var/run/fastd.$project.$hood.pid)

exit 0

Speichern

Nun müssen wir einen Cronjob anlegen, der das Skript alle 5 Minuten ausführt:

sudo crontab -e

nun folgendes eingeben:

*/5 * * * * sh /etc/fastd/fff_beispiel_fastd.sh

speichern und

/etc/init.d/cron restart

OpenVPN-Tunnel einrichten

als nächstes werden wir Mullvad mit der gelieferten OpneVPN Config konfigurieren

Zip-Datei nach der Bezahlung von 5,-€ herunterladen.

Die Zip-Datei entpackt man in das Verzeichnis /etc/openvpn/ auf dem Server

Wie man Dateien auf einen Server kopiert steht z.B. hier

nun sollte man seine Kundenummer sehen.

Jetzt kopieren wir den Inhalt des Ordners mit unserer Kundenummer in den Ordener /etc/openvpn/

Sollte dann so aussehen:

123XXXXXXXXX  crl.pem  mullvad.conf  mullvad.key
ca.crt	      mullvad  mullvad.crt   mullvad-up

Nun bearbeiten wir noch Mullvad folgendermaßen:

sudo /etc/openvpn/mullvad-up

und ändern die Zeilen in:

/sbin/ip route replace 0.0.0.0/1 via $5 table fff
/sbin/ip route replace 128.0.0.0/1 via $5 table fff

speichern

sudo vi /etc/openvpn/mullvad.conf

dort nur den Server einkommentieren über den der Traffic gehen soll.

z.B:

#remote openvpn.mullvad.net 1194
#remote openvpn.mullvad.net 1194
#remote openvpn.mullvad.net 443
#remote openvpn.mullvad.net 53
#remote se.mullvad.net # Servers in Sweden
remote nl.mullvad.net # Servers in the Netherlands
#remote de.mullvad.net # Servers in Germany
#remote us.mullvad.net # Servers in the USA

nun sollte alles über Holland gehen.

So, fast fertig.

DHCP Server

Nun noch den DHCP Konfigurieren:

sudo apt-get install isc-dhcp-server

Konfiguration öffnen:

sudo vi /etc/default/isc-dhcp-server

und Interface eintragen:

INTERFACES="bat0"


sudo vi /etc/dhcp/dhcpd.conf

und folgendes einfügen:

option domain-name "freifunk-franken.de";
option domain-name-servers 10.50.16.1;
authoritative;
# beispielhood
subnet 10.50.56.0 netmask 255.255.252.0 {
        range 10.50.59.0 10.50.59.254;
        option routers 10.50.56.3;
        option domain-name-servers 10.50.56.3;
}

die ip und die range muss natürlich in die bereits ,am Anfang im Wiki reservierten, ausgetauscht werden ;-)

So, nun werden wir am besten einen reboot durchführen und schauen ob alles läuft.